[发明专利]一种增量更新的恶意软件检测方法及系统

说明书

本发明提供了增量更新的恶意软件检测方法及系统。其中该方法包括获取应用程序产生的TCP流，提取TCP流的统计特征；将TCP流的统计特征输入至增量更新的检测模型中，输出应用程序是否为恶意应用程序；增量更新的检测模型的训练过程为：使用训练集Train1和测试集Test1对初始化模型进行训练和测试；将增量数据集划分临时训练集Temp和测试集I‑Test；其中增量数据集、训练集Train1和测试集Test1均由正常应用程序及恶意应用程序所产生的TCP流的统计特征构成；使用临时训练集Temp训练临时模型；临时模型和初始化模型均由设定数量的决策树模型构成；使用测试集I‑Test分别对初始化模型和临时模型进行测试，通过精确度筛选初始化模型和临时模型中决策树模型，最终组成最新的检测模型。

技术领域

本发明属于恶意软件检测领域，尤其涉及一种增量更新的恶意软件检测方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

移动智能设备的普及推动了移动互联网时代的到来。与此同时大量的应用程序也应运而生，人们在享用应用程序带来便利的同时，也将个人的隐私信息与移动智能设备紧密相连，这也促使大量的攻击者将目标由原来的pc端转向移动智能设备。现如今对用户隐私信息最大的威胁是恶意软件，检测恶意软件的方法主要分为三个方法。第一是基于静态检测的技术，它检查应用程序的文件结构特征以检测恶意代码。然而，静态检测的技术具有较高的误报率，无法识别未知恶意软件和检测应用程序的混淆或加密。第二是动态检测的技术，它使用敏感的API触发器来确定应用程序的行为。这种方法的缺点是不能保证在应用程序运行过程中检测到所有的路径，这可能导致错误报警和长期的分析资源占用问题。最后一种是基于网络流量检测的技术主要是对应用程序产生的流量进行分析，克服了静态分析和动态分析方法的不足。

机器学习在恶意软件检测领域的广泛应用，无论是静态，动态还是网络流量检测方法。然而，几乎所有的机器学习方法都是批量学习设置，并使用现有的批处理学习算法。在这种情况下，存在一定的缺陷，随着时间的推移，恶意软件也在不断地发展和增加，因此需要不断更新检测模型，以确保检测率不会下降。然而，发明人发现，使用批处理学习更新检测模型需要大量的训练时间、存储资源和执行内存。

发明内容

为了解决上述背景技术中存在的至少一项技术问题，本发明提供一种增量更新的恶意软件检测方法及系统，其通过增量学习来解决检测模型的更新问题，在一个新的数据集面前，训练的恶意软件检测模型可以做出一些改变来学习新的知识，从而建立一个有效的检测模型。

为了实现上述目的，本发明采用如下技术方案：

本发明的第一个方面提供一种增量更新的恶意软件检测方法。

一种增量更新的恶意软件检测方法，包括：

获取应用程序产生的TCP流，提取TCP流的统计特征；

将TCP流的统计特征输入至增量更新的检测模型中，输出应用程序是否为恶意应用程序；

其中，增量更新的检测模型的训练过程为：

使用训练集Train1和测试集Test1对初始化模型进行训练和测试；

将增量数据集划分临时训练集Temp和测试集I-Test；其中，增量数据集、训练集Train1和测试集Test1均由正常应用程序及恶意应用程序所产生的TCP流的统计特征构成；

使用临时训练集Temp训练临时模型；其中，临时模型和初始化模型均由设定数量的决策树模型构成；

使用测试集I-Test分别对初始化模型和临时模型进行测试，通过精确度来筛选初始化模型和临时模型中决策树模型，最终组成最新的检测模型。

本发明的第二个方面提供一种增量更新的恶意软件检测系统。